კიბერუსაფრთხოების კანონმდებლობა და კრიტიკული ინფრასტრუქტურა

ეროვნული კიბერუსაფრთხოების კანონმდებლობასთან შესაბამისობა

თანამედროვე ციფრულ ეპოქაში კიბერუსაფრთხოება აღარ არის მხოლოდ ტექნიკური ამოცანა; ეს არის მკაცრი სამართლებრივი ვალდებულება. საქართველოში მოქმედებს "ინფორმაციული უსაფრთხოების შესახებ" კანონი, რომელიც ასობით ორგანიზაციას (მათ შორის სახელმწიფო უწყებებს, ბანკებს, ტელეკომებს) ანიჭებს "კრიტიკული ინფორმაციული სისტემის სუბიექტის" სტატუსს. ეს სტატუსი აკისრებს მათ კონკრეტულ ვალდებულებებს: დანერგონ ISO 27001 სტანდარტები, ჩაატარონ რეგულარული აუდიტები, დანიშნონ ინფორმაციული უსაფრთხოების მენეჯერები და ანგარიში ჩააბარონ ციფრული მმართველობის სააგენტოს ან ოპერატიულ-ტექნიკურ სააგენტოს (დამოკიდებულია კატეგორიაზე). კანონის მოთხოვნების შეუსრულებლობა იწვევს სერიოზულ ფინანსურ და რეპუტაციულ ზიანს.

კიბერუსაფრთხოების შესაბამისობის სერვისი (Cybersecurity Compliance) გეხმარებათ გაერკვიოთ რთულ სამართლებრივ ლაბირინთში და უზრუნველყოთ თქვენი ორგანიზაციის მზადყოფნა. მომსახურება მოიცავს:

• სუბიექტის კატეგორიზაციის ანალიზი: იმის დადგენა, ეკუთვნის თუ არა თქვენი ორგანიზაცია კრიტიკული ინფორმაციული სისტემის სუბიექტებს და რომელ კატეგორიას მიეკუთვნება (I, II თუ III კატეგორია), რაც განსაზღვრავს ვალდებულებების მოცულობას.
• სამართლებრივი Gap Analysis: არსებული შიდა პოლიტიკების შედარება კანონმდებლობის მოთხოვნებთან და ხარვეზების იდენტიფიცირება.
• ინციდენტებზე რეაგირების გეგმა (Incident Response Plan): სამართლებრივი პროტოკოლების შემუშავება კიბერშეტევის დროს მოქმედებისთვის, მათ შორის მარეგულირებლისა და დაზარალებულთა ინფორმირების ვადების გაწერა.
• პერსონალურ მონაცემთა დაცვა კიბერსივრცეში: GDPR-ისა და საქართველოს კანონმდებლობის შესაბამისად მონაცემთა დაცვის მექანიზმების სამართლებრივი გამართვა.
• აუდიტის მხარდაჭერა: იურიდიული დახმარება გარე ან შიდა აუდიტის პროცესში, რათა აუდიტორის დასკვნა იყოს კანონთან შესაბამისი და არ გამოიწვიოს სანქციები.

პრაქტიკაში ბევრი კომპანია ვერ აცნობიერებს, რომ ისინი ექვემდებარებიან ამ კანონს, სანამ არ მიიღებენ შეტყობინებას მარეგულირებლისგან. მაგალითად, ფინანსური ინსტიტუტი, რომელიც არ ატარებს სავალდებულო პენეტრაციულ ტესტირებას (Pen-test) და არ აქვს გაწერილი კიბერუსაფრთხოების პოლიტიკა, არღვევს კანონს. ასევე, კიბერინციდენტის დროს (მაგ. მონაცემთა გაჟონვა), კომპანიამ ზუსტად უნდა იცოდეს, ვის და როდის შეატყობინოს. დაგვიანებული ან არასწორი შეტყობინება იწვევს პასუხისმგებლობას. იურისტი უზრუნველყოფს, რომ ტექნიკური გუნდის ქმედებები იყოს სამართლებრივად გამართული.

სფეროს არეგულირებს "საქართველოს კანონი ინფორმაციული უსაფრთხოების შესახებ" და მთავრობის დადგენილებები კრიტიკული ინფორმაციული სისტემის სუბიექტების ნუსხის დამტკიცების თაობაზე. კანონი განსაზღვრავს კომპიუტერულ ინციდენტებზე რეაგირების ჯგუფების (CERT/CSIRT) როლს. ასევე მნიშვნელოვანია "პერსონალურ მონაცემთა დაცვის შესახებ" კანონი, რადგან კიბერუსაფრთხოება და მონაცემთა დაცვა მჭიდროდ არის გადაჯაჭვული.

იურისტთან თანამშრომლობა იწყება ორგანიზაციის სტატუსის დადგენით. შემდეგ ხდება დოკუმენტაციის (დებულებები, წესები, კონტრაქტები IT მომწოდებლებთან) მოწესრიგება. იურისტი ასევე ატარებს ტრენინგებს თანამშრომლებისთვის სამართლებრივი პასუხისმგებლობის საკითხებზე. კრიზისულ სიტუაციაში იურისტი არის მთავარი საკონტაქტო პირი სამართალდამცავ ორგანოებთან.

Legal.ge არის პლატფორმა, სადაც თავმოყრილნი არიან კიბერსამართლის (Cyber Law) ექსპერტები. კიბერუსაფრთხოება არ არის მხოლოდ IT დეპარტამენტის საქმე; ეს არის კომპანიის მმართველობისა და იურიდიული დეპარტამენტის პასუხისმგებლობა. დაიცავით თქვენი ბიზნესი ჯარიმებისა და კიბერშეტევების სამართლებრივი შედეგებისგან ჩვენი სპეციალისტების დახმარებით.